Расширение антивредоносного ПО Майкрософт для Windows

  • Статья

Обзор

Современный ландшафт угроз для облачных сред является динамическим, увеличивая давление на бизнес-ИТ-подписчиков, чтобы обеспечить эффективную защиту в соответствии с требованиями к соответствию и безопасности. Антивредоносная программа Майкрософт для Azure предоставляет бесплатную возможность защиты в режиме реального времени. Антивредоносная программа Майкрософт помогает выявлять и удалять вирусы, шпионские программы и другое вредоносное программное обеспечение с настраиваемыми оповещениями, когда известное вредоносное или нежелательное программное обеспечение пытается установить себя или запустить в системах Azure. Это решение создано на той же платформе для средств защиты от вредоносных программ, что и Microsoft Security Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Windows Intune и Защитник Windows для Windows 8.0 и более поздних версий. Антивредоносная программа для Azure — это единый агент для приложений и клиентских сред, работающий в фоновом режиме и не требующий вмешательства пользователя. Вы можете развернуть систему защиты, соответствующую рабочим нагрузкам своих приложений, и использовать базовую конфигурацию защиты (по умолчанию) или расширенную настраиваемую конфигурацию, включающую отслеживание вредоносных программ.

Необходимые компоненты

Операционная система

Антивредоносное ПО Майкрософт для Azure включает в себя клиент и службу защиты от вредоносных программ Майкрософт, классическую модель развертывания антивредоносной программы, командлеты PowerShell для антивредоносной программы и расширение системы диагностики Azure. Антивредоносное ПО Майкрософт поддерживается семействами операционных систем Windows Server 2008 R2, Windows Server 2012 и Windows Server 2012 R2. Он не поддерживается в операционной системе Windows Server 2008, а также не поддерживается в Linux.

Защитник Windows — это встроенное антивредоносное ПО, включенное в Windows Server 2016. Интерфейс Защитника Windows также включен по умолчанию для некоторых SKU Windows Server 2016. Расширение защиты от вредоносных программ виртуальной машины Azure по-прежнему можно добавить в виртуальную машину Windows Server 2016 и выше с помощью Защитника Windows. В этом сценарии расширение применяет любые необязательные политики конфигурации, которые будут использоваться Защитником Windows. Расширение не развертывает другую службу защиты от вредоносных программ. Дополнительные сведения см. в разделе "Примеры " статьи о антивредоносных программах Майкрософт.

Подключение к Интернету

Расширение антивредоносного ПО Майкрософт для Windows требует, чтобы целевая виртуальная машина была подключена к Интернету для получения регулярных обновлений модуля и сигнатур.

Развертывание шаблона

Расширения виртуальной машины Azure можно развернуть с помощью шаблонов Azure Resource Manager. Шаблоны идеально подходят для развертывания одной или нескольких виртуальных машин, требующих настройки после развертывания, например подключения к антивредоносному ПО Azure.

Конфигурацию JSON для расширения виртуальной машины можно вложить в ресурс виртуальной машины или поместить в корень или на верхний уровень JSON-файла шаблона Resource Manager. Размещение конфигурации JSON влияет на значения имени и типа ресурса. Дополнительные сведения см. в разделе Указание имени и типа дочернего ресурса в шаблоне Resource Manager.

В следующем примере предполагается, что расширение виртуальной машины вложено в ресурс виртуальной машины. При вложении ресурса расширения JSON помещается в объект "resources": [] виртуальной машины.

{
      "type": "Microsoft.Compute/virtualMachines/extensions",
      "name": "[concat(parameters('vmName'),'/', parameters('vmExtensionName'))]",
      "apiVersion": "2019-07-01",
      "location": "[resourceGroup().location]",
      "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('vmName'))]"
      ],

      "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "IaaSAntimalware",
        "typeHandlerVersion": "1.3",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "AntimalwareEnabled": "true",
          "Exclusions": {
            "Extensions": ".ext1;.ext2",
            "Paths": "c:\excluded-path-1;c:\excluded-path-2",
            "Processes": "excludedproc1.exe;excludedproc2.exe"
          },

          "RealtimeProtectionEnabled": "true",
          "ScheduledScanSettings": {
            "isEnabled": "true",
            "scanType": "Quick",
            "day": "7",
            "time": "120"
          }
        },
        "protectedSettings": null
      }
}

Чтобы включить расширение Microsoft Antimalware, необходимо добавить, как минимум, следующее содержимое:

{ "AntimalwareEnabled": true }

Пример конфигурации в формате JSON для Microsoft Antimalware:

{ "AntimalwareEnabled": true, "RealtimeProtectionEnabled": true, "ScheduledScanSettings": { "isEnabled": true, "day": 1, "time": 120, "scanType": "Full" },

"Exclusions": { "Extensions": ".ext1;.ext2", "Paths": "c:\excluded-path-1;c:\excluded-path-2", "Processes": "excludedproc1.exe;excludedproc2.exe" }
}

AntimalwareEnabled

  • Обязательный параметр.

  • Значения: true или false.

    • True — включить.
    • false = ошибка, так как false не поддерживается

RealtimeProtectionEnabled

  • Значения: true или false, значение по умолчанию — true.

    • True — включить.
    • False — отключить.

ScheduledScanSettings

  • isEnabled: true или false.

  • day: 0–8 (0 — ежедневно, 1 — воскресенье, 2 — понедельник… 7 — суббота, 8 — отключить).

  • time: 0–1440 (измеряется в минутах после полуночи: 120 — 01:00, 60 — 02:00 и т. д.)

  • scanType: Quick или Full, значение по умолчанию — Quick.

  • Если указан только параметр isEnabled = true, устанавливаются следующие значения по умолчанию: day=7 (суббота), time=120 (02:00), scanType="Quick".

Исключения

  • Несколько исключений в одном списке разделяются точкой с запятой.
  • Если исключения отсутствуют, то имеющиеся исключения, если таковые имеются, будут перезаписаны пробелами в системе.

Развертывание с помощью PowerShell

Для развертывания расширения антивредоносного ПО на существующей виртуальной машине следует учитывать тип развертывания и использовать соответствующие команды.

Устранение неполадок и поддержка

Устранение неполадок

Журналы расширения антивредоносного ПО Майкрософт можно найти в следующем расположении: %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(или PaaSAntimalware)\1.5.5.x(номер версии)\CommandExecution.log

Коды ошибок и их описание

Код ошибки Значение Возможное действие
–2147156224 MSI занят другой установкой. Попробуйте выполнить установку позднее.
–2147156221 Программа установки MSE уже выполняется. Следует запускать только один экземпляр одновременно.
–2147156208 Недостаточно места на диске — менее 200 МБ Удалите неиспользуемые файлы и повторите попытку установки.
–2147156187 Последняя операция установки, обновления или удаления запросила перезагрузку. Перезагрузите компьютер и повторите попытку установки.
–2147156121 Программой установки предпринята попытка удаления продукта конкурента. Однако произошел сбой удаления продукта конкурента. Попробуйте вручную удалить продукт конкурента, перезагрузите компьютер и повторите попытку установки.
–2147156116 Проверка файла политики не пройдена. Передайте в программу установки допустимый XML-файл политики.
–2147156095 Программе установки не удалось запустить службу защиты от вредоносных программ. Проверьте, что все двоичные файлы подписаны должным образом и установлен правильный файл лицензирования.
–2147023293 При установке произошла неустранимая ошибка. Она будет возникать в большинстве случаев. Epp.msi, не удается зарегистрировать\start\stop service or mini filter driver Для дальнейшего исследования требуются журналы MSI из EPP.msi.
–2147023277 Не удалось открыть пакет установки Проверьте, что пакет существует и доступен или обратитесь к поставщику приложения, чтобы убедиться, что это допустимый пакет установщика Windows.
–2147156109 Защитник Windows является необходимым компонентом
–2147205073 Издатель websso не поддерживается
–2147024893 Система не может найти указанный путь
–2146885619 Не криптографическое сообщение или криптографическое сообщение неправильно отформатировано
–1073741819 Инструкция по адресу "0x%p" обратилась к памяти по адресу "0x%p". Память не может быть %s
1 Неверная функция

Поддержка

Если вам нужна дополнительная помощь в любой момент этой статьи, вы можете обратиться к экспертам Azure на форумах Azure и Stack Overflow. Кроме того, можно зарегистрировать обращение в службу поддержки Azure. Перейдите на сайт поддержки Azure и выберите "Получить поддержку". Дополнительные сведения об использовании службы поддержки Azure см. в статье Часто задаваемые вопросы о поддержке Microsoft Azure.